gitee 奇安信代码卫士使用
注册 gitee 账号后,push 一个项目,或者 fork 一个别人的项目,这里 fork 了一个 java-sec-code 靶场,使用的是个人版,像是低配版的 fortify
在项目的 服务 项下,选择奇安信代码卫士
创建分析
新建分析,支持选择分支,支持扫描的语言:php、java/jsp、python、c/c++,java 版本最高支持 1.8,点击提交
扫描完成
点击任务名,跳转到风险内容页面
点击漏洞点,显示源码,sink 点高亮
下面有详细的污点数据跟踪、漏洞描述信息、修复建议
跟踪路径图
漏洞描述和案例
详细的修复建议和示例
java 支持的类型
| 代码注入 | API误用 | 代码质量 | 密码管理 | 异常处理 | 资源管理 | 跨站脚本 | 输入验证 | 配置管理 |
| HTTP响应截断 [Java] | 不安全的框架绑定 [Java] | byte数组转String时未指定编码 [Java] | 明文密码 [Java] | finally代码块中抛出异常 [Java] | 数据库访问控制 [Java] | 反射型XSS [Java] | EL表达式注入:Spring [Java] | Spring Boot配置错误:不安全的Actuator [Java] |
| HTTP响应截断:Cookies [Java] | 使用DNS名称作为安全性的依据 [Java] | Cookie:未经过SSL加密 [Java] | 配置文件中的明文密码 [Java] | 捕获NullPointerException [Java] | 资源未释放:Sockets [Java] | 存储型XSS [Java] | JavaScript劫持 [Java] | 不安全的反序列化组件 [Java] |
| SQL注入 [Java] | 文件泄露:JavaEE [Java] | Cookie:未设置HTTPOnly属性 [Java] | 泛化的抛出异常 [Java] | 资源未释放:数据库 [Java] | 弱验证 [Java] | 拒绝服务:StringBuilder [Java] | ||
| SQL注入:MyBatis [Java] | Cookie:路径范围过大 [Java] | 泛化的捕获异常 [Java] | 资源未释放:流 [Java] | 跨站请求伪造 [NodeJS] | 文件上传 [Java] | |||
| XML外部实体注入 [Java] | JavaEE程序:直接使用Socket [Java] | 空的catch代码块 [Java] | 文件上传 [NodeJS] | |||||
| XML实体扩展注入 [Java] | JavaEE程序:直接管理数据库连接 [Java] | 有风险的资源使用 [Java] | ||||||
| 不安全的反序列化 [Java] | JavaEE程序:遗留的调试代码 [Java] | 服务器端请求伪造 [Java] | ||||||
| 动态解析代码 [Java] | 使用equals()来判断字符串是否为空 [Java] | 缺少XML验证 [Java] | ||||||
| 命令注入 [Java] | 使用getHost判断域名 [Java] | 访问权限修饰符控制 [Java] | ||||||
| 有风险的XML外部实体解析 [Java] | 使用单个字符字符串获取索引位置 [Java] | 路径遍历 [Java] | ||||||
| 有风险的XML实体扩展解析 [Java] | 创建String对象 [Java] | 重定向 [Java] | ||||||
| 有风险的反序列化 [Java] | 受限制的账户 [SQL] | |||||||
| 资源注入 [Java] | 可序列化类中存在可序列化的敏感信息 [Java] | |||||||
| 日志记录:使用系统输出流 [Java] | ||||||||
| 未使用的字段 [Java] | ||||||||
| 比较Locale相关的数据未指定适当的Locale [Java] | ||||||||
| 硬编码URL地址 [Java] | ||||||||
| 硬编码文件分隔符 [Java] | ||||||||
| 空的方法 [Java] | ||||||||
| 系统信息泄露:Spring Boot启用执行器 [Java] | ||||||||
| 系统信息泄露:标准错误流 [Java] | ||||||||
| 过于宽松的CORS策略 [Java] | ||||||||
| 遗留的调试代码 [NodeJS] | ||||||||
| 隐藏的表单字段 [NodeJS] |
gitee 奇安信代码卫士使用相关推荐
- 谷歌浏览器修复工具_奇安信代码卫士协助谷歌修复漏洞 获官方致谢
日前,奇安信代码安全实验室研究人员发现了谷歌公司Chrome浏览器存在安全漏洞 (CVE-2019-5866),该漏洞是由Google Chrome浏览器V8引擎不正确地处理堆对象引发的内存错误. 奇 ...
- 奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室的研究员为微软和Oracle 发现多个高危漏洞,其中为微软发现一个"重要"级别的漏洞(CVE-2020-1426), ...
- 奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室研究员为微软发现四个"重要"级别的漏洞(CVE-2020-1162.CVE-2020-1251.CVE-2020-1 ...
- 奇安信代码卫士帮助微软修复严重漏洞,获官方致谢和奖金
聚焦源代码安全,网罗国内外最新资讯! 近日,奇安信代码安全实验室研究员为微软发现一个"严重"级别的漏洞(CVE-2020-1153),第一时间向微软报告并协助其修复漏洞. 北京 ...
- 《应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持
聚焦源代码安全,网罗国内外最新资讯! 近日,国家市场监督管理总局.国家标准化管理委员会发布了中华人民共和国国家标准公告(2020年第8号),其中包括全国信息安全标准化技术委员会归口的26项国家标准. ...
- 奇安信代码卫士报送的漏洞获评“CNVD平台2019年度最具价值漏洞”
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为某厂商发现漏洞CNVD-2019-24016,第一时间向该厂商报告且协助其修复漏洞. 北京时间2019年12月30日,国家信息安全 ...
- 对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口
日前,奇安信代码安全事业部总经理.代码安全实验室主任黄永刚受邀分享了自身对开发安全领域的认知和洞察. 最近火爆的"元宇宙"概念,向人们勾勒了数字世界的未来发展形态.如果说物理世界是 ...
- 奇安信代码安全实验室研究员入选“2021微软 MSRC 最具价值安全研究者”榜单
聚焦源代码安全,网罗国内外最新资讯! 今天,微软安全响应中心 (MSRC) 在官网发布2020-2021年度"最具价值安全研究者"榜单,奇安信代码安全实验室的两名研究员入选. 微 ...
- 奇安信代码安全实验室帮助微软修复远程内核级漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为微软发现三个漏洞(CVE-2021-28445.CVE-2021-28328 和 CVE-2021-28323),其中CVE-202 ...
最新文章
- redis读取自增时候指定的key问题
- loadrunner发送json_Loadrunner模拟JSON接口请求进行测试
- else应输入一个语句是什么意思_Python基础知识储备,关于if-else使用性能的一点感悟...
- 一线互联网公司的工程师们更应该增长技术以外的职场经验
- 打造扛得住的MySQL数据库架构-第一课--影响数据库性能的因素
- JavaScript获取本机浏览器UA助力Python爬取糗事百科首页
- 51Nod-1091 线段的重叠【排序】
- 拓端tecdat|MATLAB用深度学习长短期记忆 (LSTM) 神经网络对智能手机传感器时间序列数据进行分类
- jquery : 插件 jsgrid 范例
- we7 php 反编译,微擎人人商城小程序前端反编译解包还原教程
- 扩展卡尔曼滤波EKF
- SolidWorks参数化设计中Excel的应用
- Medium之1468.计算税后工资
- 1.1 数组——二分查找(Leetcode 0704)
- 微分几何与广义相对论教程
- OpenStack-Placement、nova组件部署
- python的全局静态变量
- 中兴通讯某产品大规模敏捷转型实践
- win10自带输入法总是莫名奇妙变繁体
- 详解border-radius属性